DEV Community

Christian Marbel Vega Mamani
Christian Marbel Vega Mamani

Posted on

🛡️ Threat Intel Diario — 05/04/2026

#security

🤖 Auto-generated daily threat intelligence digest — April 05, 2026

🚨 Alerta de Ciberseguridad — 05 de abril de 2026
Fuentes: AWS Security, BleepingComputer, Group-IB, MSRC Microsoft, The Hacker News

Esta semana, los ciberdelincuentes están enfocándose en la seguridad de la nube, con ataques cada vez más sofisticados que buscan explotar vulnerabilidades en AWS y otros servicios de la nube. Además, se han reportado casos de ransomware y malware que afectan a usuarios y empresas en todo el mundo. En este resumen diario, exploraremos las últimas amenazas y vulnerabilidades que afectan a la comunidad de ciberseguridad.

Vulnerabilidad — CVE-2026-35414

🔍 Qué está pasando

  • Se ha publicado información sobre una vulnerabilidad en un producto o servicio de Microsoft.
  • El CVE ID asignado es CVE-2026-35414.
  • No se proporcionan detalles adicionales sobre la vulnerabilidad en la noticia.

⚠️ Por qué importa

La publicación de información sobre vulnerabilidades puede ser un indicio de que se está a punto de revelar más detalles sobre el problema. Esto puede llevar a que los atacantes se preparen para explotar la vulnerabilidad, lo que podría resultar en ataques significativos. Es importante que las organizaciones y usuarios afectados tomen medidas de precaución para protegerse.

⚙️ Cómo funciona

La vulnerabilidad en cuestión se refiere a una inyección de código en un producto o servicio de Microsoft. Esto podría permitir a un atacante ejecutar código malicioso en sistemas afectados, lo que podría llevar a una variedad de problemas, incluyendo la exfiltración de datos confidenciales.

👁️ Qué vigilar

  • IOC: La publicación de información sobre la vulnerabilidad.
  • Parches disponibles: Microsoft puede publicar parches o actualizaciones para abordar la vulnerabilidad.
  • Recomendaciones concretas: Las organizaciones y usuarios afectados deben revisar las recomendaciones de Microsoft para protegerse contra la vulnerabilidad, que pueden incluir actualizar software, configurar firewalls de manera adecuada y monitorear el tráfico de red.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-34978 OpenPrinting CUPS

🔍 Qué está pasando

  • La vulnerabilidad CVE-2026-34978 afecta a OpenPrinting CUPS, una tecnología de impresión de código abierto.
  • Se trata de una vulnerabilidad de inyección de cadena (path traversal) en la URL de notificación de RSS (notify-recipient-uri).
  • Esto permite a un atacante escribir archivos fuera del directorio CacheDir/rss, incluyendo la clobbering de archivo job.cache.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-34978 puede permitir a un atacante escribir archivos arbitrarios en el sistema, lo que puede llevar a una escalada de privilegios. Esto puede tener graves consecuencias para las organizaciones que utilizan CUPS, ya que un atacante podría acceder a información confidencial o realizar cambios no autorizados en el sistema.

⚙️ Cómo funciona

La vulnerabilidad se debe a que la URL de notificación de RSS (notify-recipient-uri) no realiza una validación adecuada de la entrada del usuario. Esto permite a un atacante inyectar una cadena de caracteres maliciosa que pueda ser utilizada para acceder a archivos fuera del directorio permitido. La vulnerabilidad también puede ser utilizada para clobberear el archivo job.cache, lo que puede llevar a una disfunción en la impresión.

👁️ Qué vigilar

  • Verificar si se ha lanzado un parche para la vulnerabilidad CVE-2026-34978.
  • Revisar los registros de sistema para detectar cualquier actividad sospechosa relacionada con la vulnerabilidad.
  • Considerar implementar medidas de mitigación, como la restricción del acceso a la URL de notificación de RSS o la habilitación de la validación de entrada en la aplicación CUPS.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-27447 OpenPrinting CUPS: Authorization bypass via case-insensitive group-member lookup

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en OpenPrinting CUPS (Common Unix Printing System) que permite un bypass de autorización a través de una búsqueda de miembros de grupo insensible a mayúsculas y minúsculas.
  • La vulnerabilidad tiene un ID CVE de 2026-27447.
  • La información se ha publicado oficialmente.

⚠️ Por qué importa

La vulnerabilidad en OpenPrinting CUPS puede permitir a un atacante obtener acceso no autorizado a recursos y servicios, lo que puede tener graves consecuencias para la seguridad de la organización. Los atacantes pueden aprovechar esta vulnerabilidad para realizar acciones con privilegios elevados, lo que puede llevar a la exfiltración de datos confidenciales, la modificación de configuraciones críticas o incluso la toma del control completo del sistema.

⚙️ Cómo funciona

La vulnerabilidad se debe a que el sistema de autorización de CUPS realiza una búsqueda de miembros de grupo de forma insensible a mayúsculas y minúsculas. Esto significa que si un usuario tiene un nombre de usuario con mayúsculas y minúsculas diferentes (por ejemplo, "JohnDoe" y "johndoe"), el sistema puede confundirse y permitir el acceso no autorizado a recursos y servicios. Los atacantes pueden aprovechar esta vulnerabilidad creando un usuario con un nombre de usuario que coincida con el de un usuario existente, pero con mayúsculas y minúsculas diferentes.

👁️ Qué vigilar

  • Parches disponibles: Los desarrolladores de OpenPrinting CUPS han publicado parches para las vulnerabilidades identificadas. Es importante aplicar estos parches lo antes posible para evitar ser vulnerables a ataques.
  • Recomendaciones concretas: Las organizaciones deben revisar sus configuraciones de seguridad y asegurarse de que los usuarios no tengan permisos excesivos. Además, se recomienda realizar una revisión exhaustiva de los sistemas y aplicaciones para detectar cualquier actividad sospechosa.
  • IOCs: No hay IOCs específicos disponibles para esta vulnerabilidad. Sin embargo, se recomienda estar atento a cualquier actividad sospechosa que pueda estar relacionada con esta vulnerabilidad.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-23473 io_uring/poll: fix multishot recv missing EOF on wakeup race

🔍 Qué está pasando

  • Se ha publicado una vulnerabilidad en el módulo io_uring/poll de Linux.
  • La vulnerabilidad se conoce como CVE-2026-23473.
  • La información publicada indica que se ha corregido un problema con multishot recv que faltaba EOF en una carrera de despertar.

⚠️ Por qué importa

La vulnerabilidad puede permitir a un atacante explotar una carrera de despertar en el módulo io_uring/poll, lo que podría provocar una pérdida de datos o una inestabilidad del sistema. Aunque la gravedad de esta vulnerabilidad no está clara, es importante que las organizaciones y los usuarios actualicen sus sistemas para evitar posibles ataques.

⚙️ Cómo funciona

La vulnerabilidad se produce cuando el módulo io_uring/poll no detecta correctamente el fin de archivo (EOF) en una carrera de despertar. Esto puede provocar que el sistema no sepa cómo tratar la información de entrada, lo que podría llevar a una pérdida de datos o una inestabilidad del sistema. La vulnerabilidad se ha corregido mediante la corrección de un problema en el código del módulo io_uring/poll.

👁️ Qué vigilar

  • Actualice su sistema operativo Linux a una versión que incluya la corrección para esta vulnerabilidad.
  • Verifique que el módulo io_uring/poll esté actualizado y sin problemas.
  • Mueva cualquier sistema que no pueda ser actualizado a una zona de seguridad confiable.

🔗 Fuente consultada: MSRC Microsoft

Vulnerabilidad — CVE-2026-31394 mac80211: arreglo de crash en ieee80211_chan_bw_change para estaciones AP_VLAN

🔍 Qué está pasando

  • Se ha identificado una vulnerabilidad en el módulo mac80211 del kernel Linux.
  • La vulnerabilidad se debe a un error en la función ieee80211_chan_bw_change.
  • La vulnerabilidad afecta a estaciones AP_VLAN.

⚠️ Por qué importa

La vulnerabilidad CVE-2026-31394 puede causar un crash en el kernel Linux, lo que puede provocar una interrupción de servicio para las organizaciones que utilizan estaciones AP_VLAN. Esto puede tener un impacto significativo en la disponibilidad y la confiabilidad de los servicios de red.

⚙️ Cómo funciona

La vulnerabilidad se debe a un error en la función ieee80211_chan_bw_change, que se utiliza para cambiar la anchura de banda de la canalización en estaciones AP_VLAN. Cuando la función se llama con una entrada de datos inválida, puede causar un crash en el kernel Linux.

👁️ Qué vigilar

  • CVE-2026-31394: la vulnerabilidad está identificada con el ID CVE-2026-31394.
  • Parche disponible: se recomienda aplicar el parche proporcionado por el equipo de seguridad de Microsoft.
  • Revisar configuraciones de red: se recomienda revisar las configuraciones de red y asegurarse de que las estaciones AP_VLAN estén actualizadas con el parche de seguridad.

🔗 Fuente consultada: MSRC Microsoft

CloudSecurity — Introduciendo el Acelerador de Zona de Aterrizaje en la Configuración Universal y Libro de Trabajo de Cumplimiento de LZA

🔍 Qué está pasando

  • Se ha lanzado un nuevo conjunto de directrices de seguridad para AWS Landing Zone Accelerator.
  • La configuración universal se basa en años de experiencia con clientes regulados, incluidos gobiernos de todo el mundo.
  • El libro de trabajo de cumplimiento de LZA se ha actualizado para reflejar las mejores prácticas de seguridad.

⚠️ Por qué importa

La seguridad en la nube sigue siendo una preocupación importante para las organizaciones. La configuración universal de LZA puede ayudar a proteger a las empresas de posibles vulnerabilidades y minimizar el riesgo de ataques cibernéticos. Además, el libro de trabajo de cumplimiento de LZA proporciona una guía clara para garantizar la conformidad con las normas de seguridad más estrictas.

⚙️ Cómo funciona

La configuración universal de LZA se enfoca en proporcionar una base de seguridad sólida para las organizaciones que utilizan AWS. Se basa en años de experiencia con clientes regulados y se ha desarrollado en colaboración con expertos de AWS y sus socios. El libro de trabajo de cumplimiento de LZA se actualiza periódicamente para reflejar las mejores prácticas de seguridad y mantener a las organizaciones al día con las normas más estrictas.

👁️ Qué vigilar

  • Asegúrate de actualizar tu configuración de LZA para reflejar las directrices de seguridad más recientes.
  • Revisa el libro de trabajo de cumplimiento de LZA para garantizar la conformidad con las normas de seguridad más estrictas.
  • Mantén tus sistemas y aplicaciones actualizados con los parches más recientes para minimizar el riesgo de ataques cibernéticos.

🔗 Fuente consultada: AWS Security

Cibercrimen — Hooking el Archipiélago: Desglose de una Campaña de Phishing que Objetiva Usuarios Bancarios de Filipinas

🔍 Qué está pasando

  • Se descubre una campaña de phishing en curso que objetiva a las principales instituciones bancarias de Filipinas.
  • Los atacantes abusan de plataformas legítimas y confiables para engañar a los usuarios y evadir la detección.
  • Se logra el secuestro exitoso de un dominio legítimo para alojar infraestructura maliciosa.

⚠️ Por qué importa

La campaña de phishing es una amenaza significativa para las instituciones bancarias y usuarios de Filipinas, puesto que los atacantes pueden obtener acceso a información confidencial y comprometer la seguridad de los datos. Además, la capacidad de los atacantes para abusar de plataformas legítimas y evadir la detección aumenta la complejidad para las organizaciones en la tarea de identificar y mitigar la amenaza.

⚙️ Cómo funciona

Los atacantes identifican y abusan de plataformas legítimas, como dominios de instituciones bancarias, para alojar infraestructura maliciosa. Esto les permite operar con mayor dificultad para ser detectados, ya que las herramientas de seguridad pueden considerar la plataforma como legítima. Una vez que los usuarios interactúan con la plataforma maliciosa, los atacantes pueden obtener acceso a información confidencial, como credenciales de acceso a cuentas bancarias.

👁️ Qué vigilar

  • Parche: Actualizar los navegadores y aplicaciones de correo electrónico para asegurarse de que estén actualizados con las últimas versiones de seguridad.
  • IOCs: Monitorear tráfico de red para detectar intentos de acceso a plataformas legítimas maliciosas.
  • Recomendación: Asegurarse de que las instituciones bancarias y usuarios de Filipinas tomen medidas de seguridad adicionales para proteger sus cuentas y datos, como habilitar la autenticación en dos factores y monitorear de cerca su actividad en línea.

🔗 Fuente consultada: Group-IB

Cibercrimen — Phantom Stealer: Credential Theft as a Service

🔍 Qué está pasando

  • Phantom Stealer es un servicio de robo de credenciales que permite a los ciberdelincuentes realizar ataques de phishing.
  • Los ciberdelincuentes utilizan este servicio para robar credenciales de usuarios y acceder a sistemas y aplicaciones protegidas.
  • Group-IB ha identificado varias campañas de phishing relacionadas con este servicio.

⚠️ Por qué importa

La existencia de Phantom Stealer representa un riesgo significativo para las organizaciones y usuarios, ya que permite a los ciberdelincuentes acceder a sistemas y aplicaciones protegidas. Los ataques de phishing son difíciles de detectar y pueden causar daños significativos, incluyendo la pérdida de datos confidenciales y la exposición de la información de los usuarios.

⚙️ Cómo funciona

Phantom Stealer funciona como un servicio de phishing que permite a los ciberdelincuentes crear y enviar emails de phishing personalizados. Estos emails contienen enlaces o archivos adjuntos que, cuando se abren, descargan el malware Phantom Stealer en el dispositivo del usuario. Una vez instalado, el malware puede robar credenciales de usuarios y enviarlas a los ciberdelincuentes.

👁️ Qué vigilar

  • IOCs: Los ciberdelincuentes pueden estar utilizando dominios y direcciones IP comprometidas para enviar emails de phishing. Es importante vigilar estos IOCs para detectar posibles ataques.
  • Parches disponibles: Aunque no se han identificado parches específicos para este ataque, es importante mantener actualizados los sistemas y aplicaciones para evitar la explotación de vulnerabilidades conocidas.
  • Recomendaciones: Las organizaciones deben implementar medidas de seguridad avanzadas, como la protección contra phishing y la autenticación multifactor, para reducir el riesgo de ataques de este tipo. Los usuarios deben ser conscientes de los posibles riesgos de los emails de phishing y no abrir enlaces o archivos adjuntos de fuentes desconocidas.

🔗 Fuente consultada: Group-IB

Cibercrimen - Compartir inteligencia sobre fraude en instituciones financieras

🔍 Qué está pasando

  • Reguladores globales están imponiendo la obligación de compartir inteligencia sobre fraude.
  • Las instituciones financieras deben colaborar en tiempo real para compartir información sobre fraude.
  • Se está utilizando la tokenización distribuida para mantener la privacidad.

⚠️ Por qué importa

La falta de colaboración entre instituciones financieras puede permitir que los cibercriminales continúen sus actividades ilegales sin ser detectados. Al compartir inteligencia sobre fraude en tiempo real, las instituciones pueden identificar patrones y preventir futuros ataques. Además, la no conformidad con las normas regulatorias puede generar multas y daño a la reputación de la institución.

⚙️ Cómo funciona

La tokenización distribuida es un enfoque que permite a las instituciones financieras compartir información sobre fraude sin revelar datos confidenciales. Los datos se tokenizan y se distribuyen de manera segura, lo que permite a las instituciones colaborar en tiempo real sin comprometer la privacidad de sus clientes.

👁️ Qué vigilar

  • Tokens de fraude: Utilizar tokens de fraude para compartir información sobre atividades sospechosas.
  • Plataformas de tokenización: Utilizar plataformas de tokenización distribuida para mantener la privacidad y colaborar en tiempo real.
  • Cumplimiento regulatorio: Asegurarse de cumplir con las normas regulatorias para evitar multas y daño a la reputación.

🔗 Fuente consultada: Group-IB

Ciberseguridad — Revisión estratégica de seguridad cibernética: el reset esencial para equipos y líderes de seguridad en 2026

🔍 Qué está pasando

  • La seguridad cibernética debe adaptarse a las amenazas complejas de hoy en día.
  • Los equipos y líderes de seguridad deben evaluar su estrategia actual.
  • La revisión estratégica es esencial para mejorar la resistencia a amenazas.

⚠️ Por qué importa

La falta de una estrategia de seguridad cibernética efectiva puede tener graves consecuencias para las organizaciones, incluyendo pérdidas financieras, daños a la reputación y exposición de datos confidenciales. Los líderes de seguridad deben asegurarse de que su estrategia esté alineada con las amenazas actuales y que los equipos estén capacitados para enfrentarlas de manera efectiva.

⚙️ Cómo funciona

La revisión estratégica de seguridad cibernética implica evaluar la estrategia actual, identificar áreas de mejora y desarrollar un plan para implementar cambios. Esto incluye analizar las amenazas actuales, evaluar la infraestructura de seguridad, identificar brechas y desarrollar un plan de acción para mejorar la resistencia a amenazas.

👁️ Qué vigilar

  • Evaluar la estrategia de seguridad cibernética actual y identificar áreas de mejora.
  • Desarrollar un plan para implementar cambios y mejorar la resistencia a amenazas.
  • Capacitar a los equipos de seguridad para que estén mejor preparados para enfrentar amenazas complejas.

🔗 Fuente consultada: Group-IB

Cibercrimen — Esquema de Phishing GTFire: Evitando la detección mediante servicios de Google

🔍 Qué está pasando

  • El esquema de phishing GTFire utiliza servicios de Google como Firebase y Google Translate para evadir la detección por parte de los sistemas de seguridad.
  • Los hackers crean sitios web falsos que parecen legítimos y utilizan Firebase para almacenar y gestionar la información de los usuarios.
  • Google Translate se utiliza para ocultar la naturaleza maliciosa del sitio web traduciendo el contenido en diferentes idiomas.

⚠️ Por qué importa

El esquema de phishing GTFire es un problema grave para las organizaciones y los usuarios, ya que permite a los hackers realizar campañas globales de phishing sin ser detectados. Esto puede llevar a la pérdida de datos confidenciales, la extracción de credenciales de acceso y la instalación de malware en los dispositivos de los usuarios. Además, la utilización de servicios de Google para evadir la detección hace que sea aún más difícil para los sistemas de seguridad detectar y prevenir estos ataques.

⚙️ Cómo funciona

El esquema de phishing GTFire funciona de la siguiente manera: los hackers crean sitios web falsos que parecen legítimos y los almacenan en Firebase. Luego, utilizan Google Translate para traducir el contenido del sitio web en diferentes idiomas, lo que les permite llegar a un público más amplio. Cuando un usuario visita el sitio web, se le pide que ingrese sus credenciales de acceso o que descargue un archivo malicioso. Los hackers luego utilizan Firebase para almacenar y gestionar la información de los usuarios, lo que les permite realizar campañas globales de phishing.

👁️ Qué vigilar

  • IOCs (Indicadores de actividad no deseada): Buscar tráfico de red que involucre servicios de Google Firebase y Google Translate, especialmente si se relaciona con sitios web falsos o campañas de phishing.
  • Parches disponibles: Actualizar los sistemas de seguridad y los navegadores para asegurarse de que estén protegidos contra las últimas vulnerabilidades conocidas.
  • Recomendaciones concretas: Utilizar herramientas de detección de phishing y antivirus para protegerse contra estos ataques, y ser cauteloso al proporcionar credenciales de acceso o descargar archivos de sitios web desconocidos.

🔗 Fuente consultada: Group-IB

Vulnerabilidad — 36 Malicious npm Packages Exploited Redis, PostgreSQL to Deploy Persistent Implants

🔍 Qué está pasando

  • Se han detectado 36 paquetes maliciosos en el registro npm que se disfrazan como plugins de CMS Strapi.
  • Los paquetes contienen payloads diferentes para explotar Redis y PostgreSQL, ejecutar conchas reversas, robar credenciales y dejar un implante persistente.
  • Cada paquete tiene tres archivos (package.json, index.js, postinstall.js) y carece de descripción y repositorio.

⚠️ Por qué importa

La detección de estos paquetes maliciosos es una amenaza significativa para las organizaciones que utilizan npm como fuente de dependencias. Los ataques pueden llevar a la explotación de vulnerabilidades en Redis y PostgreSQL, lo que puede resultar en la exfiltración de datos confidenciales, la ejecución de código malicioso y la compromiso de los sistemas. Además, la capacidad de dejar un implante persistente puede permitir a los atacantes mantener una presencia en la red durante períodos prolongados.

⚙️ Cómo funciona

Los paquetes maliciosos se disfrazan como plugins de Strapi CMS y contienen payloads diferentes para alcanzar objetivos específicos. Los archivos index.js y postinstall.js se utilizan para ejecutar código malicioso después de la instalación del paquete, mientras que el archivo package.json se utiliza para ocultar la verdadera naturaleza del paquete. Los ataques pueden incluir la explotación de vulnerabilidades en Redis y PostgreSQL, la ejecución de conchas reversas y la exfiltración de credenciales.

👁️ Qué vigilar

  • Buscar y eliminar los paquetes maliciosos de los proyectos que se ejecutan en npm.
  • Verificar la integridad de los paquetes de dependencias utilizando herramientas como npm audit.
  • Actualizar a la versión más reciente de npm y las dependencias para asegurarse de que se hayan aplicado parches de seguridad relevantes.

🔗 Fuente consultada: The Hacker News

Vulnerabilidad — Fortinet Patches Actively Exploited CVE-2026-35616 en FortiClient EMS

🔍 Qué está pasando

  • Fortinet ha lanzado parches fuera de banda para un fallo de seguridad crítico que afecta a FortiClient EMS.
  • La vulnerabilidad, identificada como CVE-2026-35616 (CVSS score: 9.1), es un bypass de acceso API pre-autenticado que conduce a un escalada de privilegios.
  • La vulnerabilidad está siendo explotada en el wild.

⚠️ Por qué importa

La vulnerabilidad en FortiClient EMS puede permitir a un atacante acceder a la API del sistema sin autenticarse, lo que lleva a una escalada de privilegios. Esto podría permitir a los atacantes realizar acciones maliciosas con permisos elevados, incluyendo la capacidad de acceder a datos confidenciales o realizar cambios en la configuración del sistema. Las organizaciones que utilizan FortiClient EMS deben aplicar los parches de inmediato para mitigar el riesgo de explotación.

⚙️ Cómo funciona

La vulnerabilidad se debe a un fallo de acceso de control inadecuado (CWE-284) en FortiClient EMS. Un atacante puede aprovechar este fallo para acceder a la API del sistema sin autenticarse, lo que le permite realizar acciones maliciosas con permisos elevados. El ataque se produce en varias etapas:

  1. El atacante envía una solicitud a la API del sistema sin autenticarse.
  2. La API del sistema no verifica la autenticación del atacante, permitiéndole acceder a información confidencial.
  3. El atacante utiliza la información confidencial para realizar acciones maliciosas con permisos elevados.

👁️ Qué vigilar

  • Parche disponible: Fortinet ha lanzado parches fuera de banda para mitigar la vulnerabilidad.
  • IOCs: No hay IOCs específicos disponibles en este momento.
  • Recomendaciones: Las organizaciones que utilizan FortiClient EMS deben aplicar los parches de inmediato y verificar la autenticación de todos los accesos a la API del sistema.

🔗 Fuente consultada: The Hacker News

ThreatIntel — Axios npm hack usado un falso parche de error de Teams para robar la cuenta de mantenimiento

🔍 Qué está pasando

  • Un desarrollador de Axios fue objetivo de una campaña de ingeniería social, creída que fue llevada a cabo por amenazas de Corea del Norte.
  • Los atacantes usaron un falso parche de error de Microsoft Teams para acceder a la cuenta de mantenimiento de Axios en npm.
  • No se menciona un CVE específico.

⚠️ Por qué importa

Este ataque ilustra la importancia de la seguridad en la cadena de suministro de software. Los desarrolladores de paquetes npm, como Axios, son vulnerables a ataques de ingeniería social si no tienen medidas de seguridad adecuadas en lugar. Además, este ataque puede haber sido parte de una campaña más amplia de ciberespionaje, lo que sugiere que las organizaciones deben estar atentas a posibles amenazas de seguridad que puedan estar relacionadas con la región de Corea del Norte.

⚙️ Cómo funciona

Los atacantes crearon un falso parche de error de Microsoft Teams que parecía ser una solución legítima para un problema conocido. Sin embargo, en realidad era un ataque de ingeniería social diseñado para engañar al desarrollador de Axios y hacer que accediera a su cuenta de mantenimiento en npm. Una vez que el desarrollador accedió a la cuenta, los atacantes pudieron tomar el control y realizar cambios en el paquete.

👁️ Qué vigilar

  • Verificar la autenticidad de los parches de errores antes de aplicarlos, especialmente si parecen ser soluciones para problemas conocidos.
  • Asegurarse de que las cuentas de mantenimiento en npm tengan medidas de seguridad adecuadas, como autenticación de dos factores.
  • Mantenerse atento a posibles amenazas de seguridad relacionadas con la región de Corea del Norte y tener un plan en lugar para responder a posibles ataques.

🔗 Fuente consultada: BleepingComputer

Cibercrimen — Aumentan ataques de phishing con código de dispositivo 37x gracias a nuevos kits en línea

🔍 Qué está pasando

  • Aumentan ataques de phishing que abusan del flujo de autorización de dispositivo OAuth 2.0 para robar cuentas.
  • Estos ataques han aumentado más de 37 veces en este año.
  • Los atacantes están utilizando nuevos kits para llevar a cabo estos ataques.

⚠️ Por qué importa

Estos ataques de phishing pueden tener un impacto devastador en las organizaciones y usuarios, ya que permiten a los atacantes acceder a cuentas y datos confidenciales. Además, la escalada de estos ataques sugiere que los cibercriminales están aprovechando la falta de conciencia sobre la vulnerabilidad del flujo de autorización de dispositivo OAuth 2.0.

⚙️ Cómo funciona

Los ataques de phishing con código de dispositivo utilizan el flujo de autorización de dispositivo OAuth 2.0 para solicitar acceso a cuentas. El atacante envía un mensaje de phishing que incluye un enlace o un código QR que, cuando se utiliza, solicita al usuario que autorice el acceso del atacante a su cuenta. Si el usuario autoriza el acceso, el atacante puede acceder a la cuenta y realizar acciones maliciosas.

👁️ Qué vigilar

  • IOC: Buscar enlaces y códigos QR sospechosos en correos electrónicos y aplicaciones.
  • Parches: Asegurarse de que se estén utilizando versiones actualizadas de aplicaciones y bibliotecas que abusan del flujo de autorización de dispositivo OAuth 2.0.
  • Recomendaciones: Educar a los usuarios sobre la importancia de verificar la autenticidad de los enlaces y códigos QR, y evitar autorizar el acceso a cuentas a desconocidos.

🔗 Fuente consultada: BleepingComputer

Top comments (0)